SentinelOne maakt de volgende technische details bekend over de ransomware Petya/NotPetya en stelt dat de verantwoordelijkheid van overlast mede bij leveranciers ligt, omdat zij veelal te gemakkelijk een vals gevoel van veiligheid suggereren.
SentinelOne, leverancier van Next Generation endpoint security-oplossingen met proactieve, meerlaagse bescherming, maakt de volgende technische details bekend over de ransomware Petya/NotPetya-ransomware en de manier waarop die zich verspreidt:
• SentinelOne heeft vastgesteld dat de ransomware-epidemie gebruik maakt van de exploit EternalBlue om zich snel te kunnen verspreiden.
• Daarnaast zien we dat de ransomware zichzelf binnen het midden- en kleinbedrijf verspreidt met behulp van de tool psexec.
• Deze aanval lijkt gebruik te maken van een methode voor het verzamelen van losgeld in de vorm Bitcoins die vergelijkbaar is met die van WannaCry. Hierbij wordt met slechts een klein aantal wallet-adressen gewerkt. Het gevraagde losgeld bedraagt om en nabij de 300 dollar.
• Het e-mailadres dat werd gebruikt om losgeld op te eisen, is inmiddels uit de lucht gehaald. Dat betekent dat iedereen die ervoor kiest om het losgeld te betalen moeite heeft met het bemachtigen van de code die nodig is voor het ontsleutelen van hun bestanden.
• In tegenstelling tot WannaCry moeten we nog zien of er bij deze ransomware-epidemie sprake is van een kill switch. We hebben echter vastgesteld dat de ransomware de Master Boot Record (MBR) overschrijft en een uur de tijd krijgt om zichzelf te verspreiden alvorens een geïnfecteerd systeem ertoe wordt gedwongen zichzelf opnieuw op te starten.
• Deze epidemie vertoont vergelijkbare kenmerken als Petya: de ransomware infecteert bijvoorbeeld de MBR en versleutelt bestanden op de harde schijf. Het is echter niet duidelijk of we te maken hebben met een variant van Petya. Sommige rapporten geven aan dat het om een volledig nieuwe vorm van ransomware gaat — vandaar de naam NotPetya.
Eric van Sommeren, Regional Sales Director bij SentinelOne: “Ransomware-aanvallen lijken inmiddels aan de orde van de dag. Zowel grote als kleine organisaties zoeken naar manieren om schade te voorkomen. De inzet van de juiste technologische oplossingen is daarbij van groot belang. Door meerdere leveranciers van cybersecurity-oplossingen wordt veel beloofd, maar helaas weinig waargemaakt. Sommige oplossingen geven een vals gevoel van veiligheid. Bij veel producten is namelijk eerst een ad-hoc update vereist om nieuw ontdekte malware het hoofd te kunnen bieden, terwijl ondertussen organisaties kwetsbaar blijven. ‘
Een echte Next Generation security-oplossing zoals SentinelOne, biedt proactieve bescherming tegen dergelijke aanvallen zonder noodzaak tot aanpassingen. Wij zijn dan ook zo overtuigd van onze technologie, dat we onze klanten compenseren voor enig geleden schade, in geval onze oplossing een infectie niet heeft kunnen voorkomen. Naar onze mening zou elke leverancier van cybersecurity-oplossingen een dergelijke verantwoordelijkheid dienen te nemen.”